Grado de madurez de la

organización en
Seguridad de la
Información
 Presentada por:

Taich, Diego
Director, PwC
 Aclaración:

© Todos los derechos reservados. No está permitida

la reproducción parcial o total del material de
esta sesión, ni su tratamiento informático, ni la
transmisión de ninguna forma o por cualquier
medio, ya sea electrónico, mecánico, por
fotocopia, por registro u otros métodos, sin el
permiso previo y por escrito de los titulares de los
derechos. Si bien este Congreso ha sido
concebido para difusión y promoción en el
ámbito de la profesión a nivel internacional,
previamente deberá solicitarse una autorización
por escrito y mediar la debida aprobación para
su uso.
 Agenda
• Introducción
• El grado de madurez de las Organizaciones (Encuesta PwC)
• Modelos de madurez
• Madurez en Seguridad de la Información
– Iniciativas y Proyectos
– Factores clave para madurar la función de SI

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”

Introducción
¿Qué es?

La “madurez” hace referencia a la adopción y

uso de buenas prácticas de Seguridad en la
Organización.
Hoy en día, el alcance de los modelos de
madurez se ha expandido a la
Ciberseguridad.

Definición de madurez (según la Real Academia Española):

madurez.
(De maduro).
1. f. Sazón de los frutos.
2. f. Buen juicio o prudencia, sensatez.
3. f. Edad de la persona que ha alcanzado su plenitud vital y aún no ha
llegado a la vejez.
Encuesta anual de PwC
El grado de madurez en las organizaciones
“Porcentaje de los encuestados que 60%
tiene en marcha un estrategia de 54%
Seguridad de la información alineada
49%
con los procesos de negocio.” – Q14

Global América del Sur Argentina

7%
“La mitad de los encuestados desconoce si
su estrategias de gestión de riesgos
incluye la CiberSeguridad como un
50%
50%
43% componente clave.” – Q21

No Si No lo saben 24%

15%
“La mitad de los encuestados desconoce 7%
cuales serán sus prioridades para 2% 2%
los próximos 5 años.” – Q3
Monitoreo Ciber Seguridad Seguridad HSDP-12 No lo
Continuo comando en la nube en disp. saben
Móviles
 Encuesta anual de PwC (cont.)
Aplicación de Prácticas de SI Evolución del Presupuesto de SI $4.3 $ 4.1
Control de accesos 59% millones millones

2.8
Prevención

Acceso a usuarios privilegiados 56% $

$ 2.7 millones
Entrenamiento y concientización de
empleados 51% $2.2 millones

Cumplimiento de políticas por parte

millones
de terceros 54%
Control de antecedentes 55%
Cifrado de e-mails 55%

3.8%

3.8%

3.8%
3.6%

3.5%
Protección

IPS 55%
DLP 52%
2010 2011 2012 2013 2014
Patch management 53% Presupuesta para Seguridad de la Información para 2014
% de presupuesto de IT gastado en Seguridad de la Información
Protección de APTs 49%
IDS 55%
Detección

Participación del Directorio en actividades clave de SI

Detección de malware 59%
Presupuesto en Seguridad
Herramientas de monitoreo de acceso 55% 40%
Revisión de Roles y Responsabilidades
Monitoreo activo 52% de Seguridad 20%
Políticas de Seguridad
Herramientas de análisis de
vulnerabilidades 54% 36%
Tecnologías de Seguridad
Herramientas de correlación de
30%
Respuesta

eventos 55%
Estrategias de Seguridad Total
BCP / DRP 61% 42%
Revisión de nivel de Seguridad actual y
Respuesta de incidentes 52% riesgos 25%
Modelos de Madurez de SI
Marcos de referencia para la evaluación de la
madurez
• NICE CMM
• C2M2
• ISM3
• ISO/IEC 21827 SSE CMM
• ISF CMM
• ….

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”

Modelos de Madurez de SI
Modelos de Madurez NICE-CMM

 El modelo CMM desarrollado y provisto por NICE en 2014.

 Enfoque orientado a la evaluación de madurez sobre los
requerimientos de CiberSeguridad.
 Fuerte foco en el desarrollo de la fuerza de trabajo para
soportar la práctica de CiberSeguridad.

Gobierno
integrado

Profesionales
Procesos y
cualificados
análisis
y tecnologías
Modelos de Madurez de SI
Modelos de Madurez C2M2

 El modelo C2M2 fue desarrollado y provisto por el

Departamento de Seguridad Nacional y el Departamento de
Energía de Estados Unidos en 2014.
 Enfoque orientado a la evaluación de madurez sobre los
requerimientos de CiberSeguridad. Está alineado al
“framework” desarrollado por NIST y se enfoca en la
protección de infraestructuras críticas.
 Se han desarrollado modelos de madurez específicos para
Oil&Gas y Electricidad

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”

Modelos de Madurez de SI
Modelos de Madurez SSE CMM

 Desarrollado por Information Systems Security

Engineering Association.
 Enfocado en logra que el proceso de ingeniería de
seguridad esté definida y sea medible.
Modelos de Madurez de SI
Modelos de Madurez ISM3

 Desarrollado y provisto por ISM3 Consortium.

 Enfocado en alinear la Seguridad con los Objetivos
de la Organización.
 Cubre las sgtes. actividades:
 Evaluación de Riesgo

 Auditoría de cumplimiento con las normas internas

 Cumplimiento de estándares externos (ej. ISO 27001)

 Monitoreo

 Prueba

 Diseño y Mejora

 Optimización

 Basada en procesos, incluye métricas para medir su

evolución.
Modelos de Madurez de SI
Modelos de Madurez ISF

 Desarrollado por el Information Security Forum.

 Enfocado en la aplicación de los modelos de
madurez.
 Incluye un modelo de madurez de alto nivel basado en sus
propias buenas prácticas.
Modelos de Madurez de SI
Principales beneficios
• Visión holística sobre el estado de la seguridad.
• Comparación de la situación actual con otras
organizaciones y con mejores prácticas.
• Identificación y priorización de focos de inversión
en Seguridad de la Información.
• Base para el desarrollo tanto del plan estratégico
como de los planes operativos y mapas de ruta para
alcanzar el nivel de madurez deseado.
• Establecer y consensuar nuevos requerimientos
entre áreas de las organización.
• Evaluar la factibilidad de éxito en nuevos proyectos
de Seguridad de la Información.
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
La Madurez de SI
Iniciativas y proyectos
La determinación del grado de madurez de SI permite
iniciar distintos proyectos, por ej.:
• Remediación en el corto plazo situaciones de alto
riesgo/probabilidad de ocurrencia.
• Determinación de la necesidad de ampliación de capacidades
(personas, tecnología, etc.).
• Establecimiento de planes de acción para pasar de los niveles
iniciales de madurez a niveles aceptables para la organización.

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”

La Madurez de SI
Iniciativas y proyectos (cont.)

En Organizaciones con mayor grado de madurez:

• Definición de una estrategia y gobierno de seguridad de la
información alineada a los requerimientos del negocio.
• Definición de un plan de gestión de riesgos y amenazas a las
que se encuentra expuesto.
• Definición de un programa de concientización y cultura de
seguridad de la información en la organización.
• Establecimiento de un programa de continuidad y
recuperación de las funciones del negocio.
• Definición de un programa de gestión de crisis y respuesta a
incidentes.
• Certificación de estándares internacionales (ej.: ISO 27001)

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”

La Madurez de SI
Factores claves para madurar la SI
Perspectiva
Qué hacen los
histórica en
líderes hoy
Seguridad de
la información

 Limitada a sus "4 paredes" y la  Expansión del ecosistema de negocio:

Alcance del desafío
empresa extendida interconectado y global
 El negocio está alineado y es dueño del
Quién es dueño y quién es
 Liderado y Operado por IT tema; el CEO y el Directorio tienen
responsable
responsabilidad

 Ataque de una sola vez y  Ataques organizados, financiados y

Características de los oportunista; motivado por la dirigidos; motivados por los
adversarios notoriedad, el desafío técnico, y la acontecimientos económicos, monetarios, y
ganancia individual para obtener beneficios políticos

Protección de activos de  Enfoque de priorización y protección de los

 Enfoque "One-size-fits-all"
información activos importantes de la organización.

 Proteger el perímetro; responder si  Planificar, monitorear y responder

Postura defensiva
es atacado rápidamente para cuando es atacado
 Asociación con otras organizaciones
Inteligencia de Seguridad e
 "Manténgalo para sí mismo" públicas y privadas; colaboración con los
intercambio de información
grupos de trabajo de la industria
La Madurez de SI
Agregando valor al Negocio: 5 pasos para
lograr la madurez
Asegurarse que su estrategia de ciberseguridad se encuentra alineada con los
1 objetivos del negocio y sea estratégicamente financiada.

Identificar los activos más valiosos y priorizar la protección de los datos de

2 mayor valor.

Conocer sus principales adversarios / amenazas, sus motivos, recursos y

3 principales técnicas de ataque para reducir los tiempos de detección y respuesta.

Evaluar la seguridad de proveedores y socios de negocio, y asegurarse

4 que los mismos acepten sus políticas y prácticas de seguridad.

Colaborar con otros para aumentar la concientización sobre las amenazas a la

5 seguridad y las tácticas de repuesta.

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”

Gracias por asistir a esta
sesión…
Para mayor información:

Diego Taich

(diego.taich@ar.pwc.com)

Para descargar esta presentación visite

www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en